Snug Studio's Blog

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://gleisure.blogbus.com/logs/46437092.html

　　部门一台电脑出现了奇怪的症状，开机启动不能正常显示开机欢迎屏幕或桌面，仅出现一个对话框：“（lsass.exe无法找到入口）无法定位程序输入点LsarQueryInformationPolicy于动态链接库lsasrv.dll 上”，关闭对话框仍停滞不前。求助网络，查询后仅发现二种类似的情况：

（1）提示“（lsass.exe无法找到入口）无法定位程序输入点LdrsetSessionName 于动态链接库mfc40u.dll 上”
　　网上说该提示是由于系统被病毒破坏而产生的。是系统程序“lsass.exe”进程启动时弹出来的错误提示信息，真正的系统程序“lsass.exe”进程中是不会有这种提示信息的。之所以会弹出该提示，是因为病毒修改了系统“lsass.exe”程序的输入表(在输入表的尾部多加了一条调用信息“LdrsetSessionName”、“mfc40u.dll”)，同时病毒又使用自身释放出来的恶意DLL组件覆盖了系统本身的DLL组件“mfc40u.dll”(系统内原本就有这个DLL组件的)。当杀毒软件或安全软件发现了被病毒程序破坏的系统DLL组件“mfc40u.dll”(系统原DLL组件的功能是MFC的部分函数库，被病毒覆盖后的DLL组件的功能是木马下载器)后，就给强行删除掉了，但没有去修复系统程序“lsass.exe”文件的输入表，也没有还原被病毒破坏的系统DLL组件“mfc40u.dll”文件，所以出现了上边的错误提示信息。

（2）提示“（lsass.exe无法找到入口）无法定位程序输入点equaldomainsid于动态链接库advapi32.dll上”
（3）提示“（lsass.exe无法找到入口）无法定位程序输入点_resetstkoflw于动态链接库msvcrt.dll上”
（4）……（以上样式）

　　综上（1）-（4）出现的“lsass.exe无法找到入口”的修复方式主要是杀毒，并用原始文件替换相应的DLL文件。因为无法进入系统，通常要使用启动盘，比如用PE系统来进行修复。但网上关于lsass.exe不能定位“LsarQueryInformationPolicy”的问题几乎没有，借鉴以上方法却没有任何效果，后来因为时间原因不能仔细研究，只得重装系统。

　　电脑出问题期间，遇到一位电脑“达人”，听其自称每年花在电脑DIY上的费用超过2万元，几乎保持每年购置一台笔记本。哎，有钱人！他是学计算机的，我于是问他原因，竟然以“中毒”二字打发我，晕~